Ukendte hackere krypterede i påsken 2017 280.000 filer hos den Randers-baserede virksomhed Phoenix Design Aid. De ville have 50.000 kroner for at åbne dem igen. Men de havde valgt det forkerte offer.
– Vi støtter ikke den slags pengeafpresningsaktiviteter, lyder det kontant fra direktør Dennis Lundø Nielsen.
Hans virksomhed udfører grafisk arbejde for FN-organisationer rundt omkring i verden. Og blandt andet derfor nægtede de at betale løsesummen. Det ville ikke harmonere med FN’s politik.
Prisen for dén beslutning blev et driftstab på seks millioner kroner.
Når det går galt, sidder man og kan se pengene strømme ud
— Dennis Lundø Nielsen, direktør, Phoenix Design Aid
Sølle forsikring
Hackerne krypterede mange af de filer, som virksomheden var afhængig af i sit daglige arbejde. For eksempel grafiske filer til periodiske udgivelser, som nu skulle laves forfra.
– Når man arbejder med FN, så har de nogle opgaver, der går igen og igen. Den samme opgave kan komme i udbud tre år efter, og vi kan finde den gamle fil frem og lave nogle justeringer. Og så tager det ikke en uge, men kun én dag, siger Dennis Lundø Nielsen.
Hackerne fik også ram på en stor del af virksomhedens backupfiler. De var nemlig alle koblet op på det samme netværk.
– De krypterede hele vores disk-backupsystem, siger virksomhedens it-konsulent, Jan Lajer.
Phoenix Design Aid havde også et backupsystem i skyen, som blev delvist krypteret. Efter angrebet lykkedes det at redde nogle af filerne fra sky-backuppen. Og hos kunder og freelancere, som stadig havde filerne liggende. Men hovedparten gik tabt.
Det lykkedes også kun at redde en lille del af det økonomiske tab. Forsikringsselskabet udbetalte 180.000 kroner.
– Det er dét, det kostede at få teknikere til at genoprette systemet, siger Dennis Lundø Nielsen.
Dengang fandtes der ikke cyberforsikringer mod driftstab, som der gør i dag.
Dennis Lundø Nielsen har flere FN-organisationer som kunder, og det ramte hårdt, da hackere krypterede 280.000 filer. Foto: Tobias Nicolai
Knækkede passwordet
Hackerne slog til, da alle var på ferie.
– Sjovt nok vælger de at ramme os i påsken, hvor de ved, at der ikke er nogen på arbejde. Og hvor de har masser af tid til at kryptere det hele, siger Jan Lajer.
Hackernes robot forsøgte det ene password efter det andet, og pludselig var der hul igennem.
– Der var i hvert fald 100.000 log entries. Så de har haft et program, som bare har stået og bombarderet den server, siger han og fortsætter:
– De hackede selve domæneadministratorens kodeord. De kom ind lokalt på serveren, og så havde de adgang til det hele.
Phoenix Design Aid ved stadig ikke, hvem der stod bag. Men Jan Lajer vurderer, at angrebet var relateret til Ukraine eller Rusland. Politiets afdeling for cyberkriminalitet, NC3, har fået logfilerne, men sagen er uopklaret.
Jan Lajer tror, at hackerne nød godt af et stykke malware, der kan have ligget i dvale i noget tid. For inden det store hackerangreb var systemet udsat for et mindre angreb. Det skete, da en bogholder klikkede på et link i en mail.
Phoenix Design Aid har efter angrebet indset, at den sikreste beskyttelse mod fremtidige angreb er backup på bånd.
– Læren har selvfølgelig været, at det første, der blev købt, var en tape-station. Det er en god, gammeldags teknologi, og det virker. Med det trusselscenarie, du har i dag, finder man ikke en bedre løsning, mener Jan Lajer.
Logikken er, at uanset hvor dygtige hackerne er, kan de ikke hacke sig ind i et bånd, der ligger i en skuffe eller på skrivebordet. Med mindre de også bryder ind fysisk.
Phoenix Design Aid har også garderet sig på andre måder. For eksempel har de sat ’white hat’-hackere hos Deloitte til at prøve at hacke deres systemer fire gange om året.
Deloitte sender løbende rapporter med anvisninger af sårbarheder – og guides til, hvordan hullerne kan lappes. For nylig blev Phoenix Design Aid for eksempel gjort opmærksom på et problem med en gammel exchange server. Den er nu sat ud af drift.
Virksomheden er også gået over til to-faktorautentifikation, så man først kan logge på systemet, når man har modtaget en sms på sin mobil.
Beskyt dig
Direktør Dennis Lundø Nielsen mener, at dansk erhvervsliv bør tage hacking langt mere alvorligt.
– Hackerne bliver dygtigere og dygtigere. Og vi har lært, at vi hele tiden skal være på forkant. Vi tager ingen chancer. Vi havde et supersikkert system i forhold til mange, mange andre. Og alligevel kunne de komme ind, siger han.
Hans råd til andre virksomheder lyder:
– De skal have respekt for, at det kan gå galt. For de dér østeuropæere er kolde. De har ingen fornemmelse af, at de splitter alt muligt ad. Der er ikke nogen vej uden om at krybe til biddet. Få fat i nogle folk, der ved noget om sikkerhed, og få lavet et setup. For når det går galt, sidder man og kan se pengene strømme ud.